Алексей Виноградов
В 2018 году окончил негосударственное высшее учебное заведение «Московский финансово-промышленный университет «Синергия» по специальности «Информационные системы и технологии».
С 2014 года работает в сфере информационных технологий. За это время прошел путь от инженер-программиста до начальника отдела информационной безопасности.
Профессиональная карьера началась в 2014 году в компании «Посейдон» (г. Южно-Сахалинск) с должности инженер-программиста и выполнения задач по программированию модулей для корпоративного сайта и интеграции информационных технологий в различных сферах.
В 2016 году покинул компанию «Посейдон» и перешел на должность администратора информационной безопасности в ГБУ СО «СОЦИ» (Сахалинский областной центр информатизации).
С 2018 года руководит отделом информационной безопасности в ГБУ СО «СОЦИ», отвечает за защиту информации ряда государственных информационных систем, за обеспечение информационной безопасности региональной информационно-телекоммуникационной инфраструктуры Правительства Сахалинской области и его компонентов. А также развивает направления деятельности в области мониторинга инцидентов безопасности и аттестации объектов информатизации на соответствие требованиям в области защиты информации.
Алексей Виноградов, начальник отдела информационной безопасности Государственного бюджетного учреждения Сахалинской области «Сахалинский областной центр информатизации» (ГБУ СО «СОЦИ»), рассказал Anti-Malware.ru об особенностях работы своей организации, а также поделился размышлениями на тему импортозамещения в России и опытом использования отечественных СЗИ.
Алексей, расскажите, чем занимается ваша организация и какие задачи перед ней стоят.
А. В.: Основная задача нашей организации — цифровизация. Точнее, техническая поддержка правительства Сахалинской области, поддержание и построение инфраструктуры, предоставление ресурсов для органов исполнительной власти. Также перед нами стоят задачи по развитию систем автоматизации, которые позволяют оказывать услуги населению. Ещё мы оказываем методологическую помощь органам исполнительной власти. В рамках этого мы как отдел ИБ обеспечиваем информационную безопасность этих систем и инфраструктуры.
То есть ваш отдел напрямую отвечает за информационную безопасность государственных информационных систем Сахалинской области, за обработку персональных данных и за все вопросы, связанные с этим, правильно я понял?
А. В.: Не совсем. В первую очередь за защиту информации в собственных ведомственных информационных системах отвечают органы исполнительной власти. Мы им оказываем лишь техническую помощь. Предоставляем ресурсы и удалённо контролируем, выявляем инциденты и оказываем помощь на месте уже непосредственно в самой системе.
Эпидемия коронавируса очень сильно повлияла на нашу жизнь, ускорила принятие новых информационных технологий, в том числе — для удалённой работы. Как это повлияло на вашу организацию? Насколько сильно пришлось перестраивать процессы и инфраструктуру?
А. В.: Инфраструктуру менять не пришлось. Пришлось перевести часть сотрудников на удалённую работу. В связи с этим основная сложность оказалась в процессе взаимодействия сотрудников.
Люди привыкли общаться между собой в офисе, и именно этот момент диалога, живого общения людей был утерян. Им пришлось привыкать выстраивать коммуникации по-новому, через телефоны, видео-конференц-связь и т. п. А в работе систем ничего не поменялось. Инфраструктура живёт так же, как и прежде.
Но обслуживание — удалённое. Для айтишников это — не проблема.
А сложностей в обслуживании информационных систем не возникло при удалённой работе? Не всё же можно сделать удалённо.
А. В.: Не всё, поэтому у нас были выставлены дежурные, которые по очереди сменялись уже непосредственно в офисе.
Изменилась ли под влиянием карантина модель угроз? Какие риски возросли и почему?
А. В.: Риски были. Другие отделы просили, чтобы мы им напрямую дали доступ к их системам. Разумеется, мы им отказывали, так как отлично понимали, что в таком случае не можем гарантировать информационную безопасность на их рабочем месте, их компьютере. Мы говорили, что можем предоставить доступ, но только через терминальный сервер, который полностью защищён. Это допустимо. Но при обязательном условии подключения по защищённому каналу связи. Для более ключевых систем, которые имеют, скажем, второй класс защищённости, такой доступ мы не предоставляем. Только тем, которым требовался минимальный доступ.
Получается, выросли риски несанкционированного доступа к системам удалённых сотрудников при компрометации рабочих станций?
А. В.: Да.
Что бы вы порекомендовали, исходя из своей практики, для минимизации подобных рисков?
А. В.: В тех случаях, где было необходимо подключаться к большим системам, мы давали компьютер или ноутбук с полностью настроенными средствами защиты, подключали к нашим системам мониторинга и только так могли гарантировать максимальную защиту и безопасность. Никакую «левую» флешку или что-то подобное к такому компьютеру уже не подключить.
То есть в случае с ГИС о доступе с домашнего персонального компьютера речи не идёт?
А. В.: Конечно, нет.
А что делать, если сотрудник вообще в принципе работает из недоверенных сетей — например, подключается через домашний Wi-Fi или хочет войти по рабочему вопросу из какого-то общественного места? Есть же риски компрометации сетевого оборудования. Как они минимизируются на практике?
А. В.: У нас это обеспечивается системой криптографической защиты информации через ViPNet Client.
Как отразились эпидемия коронавируса и связанные с ней ограничения на информационной безопасности и реализации новых проектов?
А. В.: Я могу ответить на этот вопрос только в рамках информационной безопасности, прокомментировать работу других отделов не могу. Мы находимся на Сахалине, из-за этого часто проводим удалённые «пилотирования». Конечно, были случаи, когда к нам приезжали представители вендоров и непосредственно у нас проводили «пилот», но чаще нам дают, грубо говоря, «железку» или ПО и мы самостоятельно их тестируем, «пилотируем», проверяем, при необходимости подключаем вендора.
Из-за удалённости для вас получается привычной ситуация, когда к вам на место дорого и тяжело выезжать подрядчикам?
А. В.: Да, и это тоже. Плюс компетенция сотрудников позволяет делать такие проекты.
Вендоры, интеграторы часто помогают нам внедрять какой-то продукт, просят что-то сделать или подготовить, и мы это делаем. Задача стоит не просто внедрить, но также разобраться в этом продукте, понять, как он устроен и как работает.
Конечно, досконально во всех деталях разобраться невозможно, но общее понимание того, как он работает, мы обязательно должны иметь. Поэтому в подобных проектах мы всегда участвуем и уже неплохо набили на них руку.
Возможно ли в принципе внедрение чего-то нового без прямого контакта с подрядчиками или вендорами, так сказать, полностью «бесконтактно»?
А. В.: Думаю, возможно. Но на это влияет много факторов. И компетенция сотрудников важна, и желание самого вендора. Были ситуации, когда вендор не шёл на контакт. Мы просили рассказать, что и как делать, говорили, что не можем сделать это самостоятельно, но готовы принять максимально возможное участие, и что нам нужна как минимум инструкция администратора и руководство по продукту, рассказывающие, что он из себя представляет и какие процессы внедрения у него идут. Когда вендор идёт на контакт, нам значительно легче разобраться во всём и процесс движется гораздо быстрее.
Это как-то зависит от зрелости и коммерческой успешности вендора? У вас же, наверно, выбор средств защиты ограничен требованиями ФСТЭК России и необходимостью сертификации.
А. В.: Да, всё верно, выбор ограничен. У нас были и сейчас есть проекты, связанные с импортозамещением операционных систем, офисных продуктов. В процессе общения с вендором становится ясно, насколько он компетентен. Бывает так, что начинаешь задавать вопросы, вендор не отвечает, а потом спустя месяц спрашивает, что у нас по импортозамещению. Ребята, вы месяц молчали, что вы теперь хотите? Зачем создавали рабочую группу, если вы в ней не готовы были отвечать на вопросы?
Если же вендор идёт на взаимный контакт и полностью может ответить за свой продукт, то, конечно, работа развивается по-другому.
А импортозамещение сейчас стало для вас обязательным?
А. В.: Да, на деле оно обязательно, но это нигде не прописано. Ни в одном документе я не увидел обязательности. У нас, как обычно, вроде только рекомендовано, но все почему-то это делают в обязательном порядке.
Но ведь вопрос сертификации не обойдёшь и получается, что зарубежные продукты, если я правильно понимаю, не получат нужный сертификат для внедрения. Так?
А. В.: Нет. У нас есть запрет на покупку иностранного ПО. Но если нет отечественного аналога, то покупается зарубежное. Я не понимаю, почему сейчас все ринулись в импортозамещение по операционным системам и по программному обеспечению. В этих системах очень много функций, и аналогов, способных полностью всё заменить, нет. Linux не может их досконально обеспечить. Но это — моё субъективное мнение. Мы видели, как в некоторых регионах покупали и до сих пор покупают Windows, и у них всё хорошо. А другие регионы, наоборот, взяли курс на импортозамещение и столкнулись из-за этого с множеством проблем. Сейчас кто-то из них более-менее справляется, а у кого-то по-прежнему всё плохо. У нас же эта тема — всё ещё на стадии подготовки и неопределённости.
Есть ли, по-вашему, в идее импортозамещения положительные моменты, например — дополнительная защищённость? Или всё-таки пока это — только ненужная нагрузка на ваш отдел и в целом на вашу организацию?
А. В.: Нагрузка есть. Какой-то особой защищённости я не вижу. И в Windows можно настроить межсетевой экран, и в Linux. Но проблема — в том, что люди на рабочих местах не настраивают межсетевой экран. А настраивать его как раз надо, чтобы избежать даже минимальной угрозы.
Саму идею импортозамещения считаю неплохой и даже полезной, отечественный продукт надо развивать, он должен стать хорошим. Но осуществлять эту идею нужно не путём навязывания. Заставлять переходить на импортозамещение — накладно для всех, а итог оказывается не всегда положительным.
Мы рискнули в прошлом году перейти на отечественные межсетевые экраны. Вроде бы хорошо, да, поддержали отечественного производителя. Но их качество оставляет желать лучшего. Хочется всё-таки такого же уровня качества, как у зарубежных продуктов.
Об этом мы постоянно говорим и «мучаем» отечественных производителей. Но релизы выпускаются очень долго. Эта проблема касается не только межсетевых экранов, но и операционных систем, и офисных продуктов. Спрашивали, как часто выпускаете. Ответ — «раз в квартал». Понятно, что каких-то обновлений по продуктам придётся ждать очень долго. Плюс из-за недостатка качества отечественных продуктов возникают большие риски при их использовании, могут случаться простои систем. Например, не так давно у нас был инцидент: из-за обновления сигнатур модуля СОВ остановилась работа всего межсетевого экрана, и из-за этой банальной проблемы у нас вся сеть «лежит», все сервисы недоступны. Это несерьёзно! Нет обновления с возможностью более безопасного восстановления. Есть такие вот недоработки. Я надеюсь, что когда-нибудь это пройдёт и в будущем станет лучше. Только хочется, чтобы это хотя бы не навязывалось.
А финансовой экономии импортозамещение способствует? Американская валюта — дорогая. Наше, внутри страны, вроде как должно быть дешевле. Или на самом деле экономии для заказчика на этом нет?
А. В.: Никакой экономии нет. Наоборот, по итогу выходит дороже. Что с отечественными межсетевыми экранами, что с операционными системами — нигде нет экономии. Вот, например, в случае с Windows берёшь продукт на 5 лет и получаешь безлимит на всё, пользуешься этим продуктом, ставишь любое количество пользователей и не переживаешь. У отечественного производителя ничего подобного нет, каждая лицензия стоит денег, техподдержка — дополнительных денег. За каждое движение — ты должен денег. И нет систем скидок.
Я был убеждён, что продукция отечественных производителей должна быть дешевле и что они должны быть более лояльными к местным заказчикам. Какой-то странной получается история с импортозамещением.
Если посмотреть на весь спектр СЗИ, доступный государственным организациям, то какие вы видите недостающие или слабые звенья? Чего пока не хватает на рынке, или есть, но плохого качества?
А. В.: Центры управления информационной безопасностью. Для нас это — острая необходимость. Не то чтобы плохого качества — были бы они доступнее. Когда мы узнаём размер цен на IT-системы, то понимаем, что на самом деле там — не такая большая функциональность, которая может стоить столько денег. И это странно. Вроде есть конкуренция, но цены… глобальные!
Речь идёт об IRP-системе?
А. В.: Да, об IRP. Мы смотрели различные системы, «пилотировали», пробовали. Где-то — просто автоматизация документооборота, небольшая инвентаризация. У других — больше модулей, там уже и непосредственно системы управления безопасностью. Но цены очень «кусаются».
Понятно, что сейчас есть отечественные прикладные средства защиты, VPN, криптошлюзы, антивирусы и т. п. А есть ли какие-то важные категории, импортные аналоги которых пока заметно лучше?
А. В.: Мы импортными аналогами прикладных средств защиты уже давно не пользуемся. Мне не с чем сравнить. Основная и очень большая проблема отечественных прикладных средств защиты — это то, что они совершенно «не дружат» между собой. Появляются синие экраны всегда в неожиданный момент.
Например, выходят обновления на Windows или на Linux, и всё напрочь «слетает». Нестабильность и ненадёжность. Нам для обеспечения потребностей информационной безопасности нужно, например, что-то подключить. Но мы понимаем: сделаем это сейчас, оно будет какое-то время работать, но потом «отвалится» и в итоге будет синий экран. Когда такое происходит — невозможно предугадать.
Сотрудники из других отделов знают про такие особенности и с большой неохотой всё это ставят. Из-за этого мы постоянно сталкиваемся с сопротивлением и недовольством с их стороны. Но ведь понятно, что если бы отечественные прикладные средства защиты нормально работали, негативных отзывов и частых жалоб на то, что что-то не работает, не было.
То есть постоянный негатив вызывает напряжённость у других подразделений, для которых вы это внедряете?
А. В.: Да, всё верно.
Можете рассказать о каких-либо успешных проектах последних лет по внедрению различных систем? Я слышал, будто вы что-то внедряли по IdM-системам.
А. В.: Да, внедрили IdM. В целом всё прошло хорошо. Конечно, были в процессе небольшие моменты недопонимания, но мы их решили. В настоящее время мы её продолжаем внедрять, она у нас находится ещё в стадии обкатки.
Начали вы её внедрять до эпидемии? Или это всё происходило параллельно, как раз по «бесконтактному» варианту?
А. В.: По «бесконтактному» варианту у нас это было и до эпидемии. Я искал подходящий продукт ещё в прошлом году. Думал про IdM и говорил про это своему руководству, убеждал в её нужности по причине нашего роста и, следовательно, возникновения необходимости контроля доступов. В этом году на продукт выделили деньги, и мы начали внедрение. Активно процесс начал проходить в феврале. А потом уже началась пандемия.
То есть основная фаза внедрения попала как раз на карантин и период самоизоляции?
А. В.: Да.
Я правильно понял, что инициатива по внедрению IdM-системы в вашем случае исходила от службы информационной безопасности? Не от «айтишников», не от бизнеса, а именно от вас?
А. В.: Да, инициатива полностью наша. Правда, соседний аппаратно-технологический отдел эту идею активно поддержал, чему мы очень обрадовались — и начали вместе с ними её отрабатывать. Естественно, основной пласт работы лежал на нас, так как айтишники хотели контролировать только свою систему, в основном Active Directory, а у нас задача была масштабнее. Мы хотели подключить к IdM и уже полностью контролировать как можно больше систем.
Какие ограничения были в выборе IdM-системы? В вашем случае, если я правильно понимаю, они должны быть сертифицированными по определённому классу, а их, наверно, в настоящее время не так много вообще.
А. В.: Для нас главное, чтобы продукт был в реестре российского ПО Минкомсвязи. Во-вторых, наличие сертификата ФСТЭК тоже было большим плюсом, но уже дополнительным. В-третьих, для нас было важно, чтобы IdM была совместима с отечественными операционными системами, которые строятся в основном на *nix-подобных системах.
Мы старались учесть возможность поддержки IdM-системы, когда это потребуется, для полного перехода нашей инфраструктуры на импортозамещённую, то есть если Active Directory будет у нас уже «линуксовый».
Для IdM-систем это — очевидный тренд в нашей стране. Мне кажется, все эти требования пошли как раз тогда, когда началась история с импортозамещением, и многие стали «допиливать» именно поддержку Linux в своих IdM-системах. Какую систему в итоге выбрали?
А. В.: Нам подошла по всем характеристикам система 1IDM.
Чем она понравилась? Почему в итоге выбор пал на неё?
А. В.: Изначально её основным козырем был открытый исходный код. То есть всегда можно зайти в сам продукт, в его конфигурацию. Если ты — хороший «одинэсник», то как минимум сможешь разобраться в этом продукте. И одним из факторов, в итоге повлиявших на выбор этого продукта, была возможность создания своих универсальных коннекторов.
А то, что система 1IDM совместима с 1С, очень плотно с ней интегрирована и по сути частично на ней основана, для вас было плюсом?
А. В.: Да, это был плюс, так как 1С-разработчиков больше, чем разработчиков на других языках программирования. И компании, которые могут поддержать этот продукт в плане 1С, по крайней мере, в нашем регионе присутствуют. Можно нанять разработчика, который сможет создать коннектор, внедрить дополнительный модуль, если сами захотим что-то «допиливать».
А почему вам важна возможность разработки своих индивидуальных коннекторов? Неужели не хватает стандартного набора на все случаи жизни?
А. В.: У нас, наверно, всегда глобальные идеи. Во-первых, у нас есть большие системы, типа «Безопасного города», и там сама система сложна. Соответственно, просто так типовой коннектор не подойдёт. Потом, не из информационных систем, а из средств защиты, имеется центр управления сетью, мы выдаём с его помощью удалённые доступы для пользователей и, соответственно, хотим его тоже интегрировать с 1IDM, чтобы у нас была возможность контролировать, кому мы выдали тот или иной аккаунт.
В таком случае вы писали или хотите писать коннекторы?
А. В.: Да. Если там очень сложно будет, то мы будем привлекать непосредственно вендора или разработчика. Там, где мы более-менее понимаем и базу данных, и процесс разработки, можем обойтись своими силами. На сеть мы планируем сами делать.
Сколько времени заняли процесс внедрения и проект в целом?
А. В.: С начала развёртывания тестовой версии и до момента, когда система заработала, прошло где-то 4 месяца. Сейчас у нас идёт процесс «допиливания», чтобы в итоге можно было ей пользоваться. А процесс доработки продолжается месяц-полтора.
Насколько плотно в ходе внедрения системы приходилось общаться с самим вендором?
А. В.: Общались часто и очень плотно. Бывало, что-то не отображалось или появлялись какие-то ошибки, приходилось уточнять, устранять. Они присылали «мануалы», по которым мы дальше ориентировались самостоятельно и решали, что делать.
На данный момент сколько систем уже подключено к IdM и какое количество пользователей заведено? Каков масштаб в целом?
А. В.: Сейчас мы только наращиваем базу пользователей. Думаем, что на начальном этапе их будет примерно 1200. Подключили к IdM Active Directory и ещё пару более простых систем.
Значит, для вас важнее контроль доступа именно к IT-системам и IT-ресурсам? Не к кадрам и к бухгалтерии?
А. В.: Кадры нас не интересуют. Наша задача — контроль тех ресурсов правительства и органов исполнительной власти, которые мы им предоставляем и которые они используют. Поэтому мы и подключаем подобные системы.
Наши локальные системы, которыми пользуемся только мы, тоже можно туда подключить, но они и так нам подконтрольны, в них мало пользователей. Здесь же — большой объём аккаунтов, поэтому возникает необходимость всё это учитывать и контролировать.
Выходит, большинство пользователей, заведённых в IdM-систему, — это внешние сотрудники органов исполнительной власти, не из вашей организации, и при помощи IdM-системы вы контролируете доступ этих внешних сотрудников к IT-системам, которые обслуживаете?
А. В.: Да, именно так.
Говорят, аппетит приходит во время еды. Какие дальнейшие шаги вы планируете сделать для расширения проекта? Может быть, смотрите в сторону функциональности IGA, SSO, PAM?
А. В.: В первую очередь мы хотим полностью обучить сотрудников, чтобы они хорошо понимали, как с этим работать. Хотим использовать IdM-систему по максимуму. Но это — уже долгосрочные планы.
Также важно уделить внимание анализу. Наша группа мониторинга будет выявлять различные нестыковки, повышение прав. Например, сотрудник уволен, а права всё ещё есть; почему об этом вовремя не сообщалось? Или когда человек хочет получить какой-то доступ, вначале он должен войти в IdM-систему, а только потом уже получить остальное. Всё это — вопрос налаживания бизнес-процесса, и он — на самом деле сложный, будем дорабатывать. Выстроить этот процесс так, чтобы всё чётко работало, непросто. И это — самый главный и долгосрочный план.
В рамках федерального закона №187-ФЗ вы попадаете под КИИ?
А. В.: Конкретно мы не попадаем, но организации, которые мы обслуживаем, попадают — министерство здравоохранения и подведомственные учреждения. А мы как раз и обеспечиваем их технически и в плане информационной безопасности, и в плане инфраструктуры.
Требования 187-ФЗ привели в вашем случае к внедрению дополнительных средств защиты и новых процессов? Поднимается ли на практике уровень защищённости или всё-таки это — только «бумажная» безопасность?
А. В.: На практике у нас реализуются меры по выполнению требований КИИ. В этом случае идёт сравнение с ГИСами, и здесь у нас — полное соответствие. Но там появился новый инструмент по мониторингу информационной безопасности. Последний год мы его активно применяем на своих системах и ресурсах. И сейчас стали использовать на системе здравоохранения. Так что — да, применяем, и эффект есть. Выявляются инциденты, уязвимости. Мы сообщаем об этом владельцу системы, и он уже активно это устраняет.
Вы создавали у себя свой собственный центр мониторинга и реагирования — SOC — или пользуетесь аутсорсинговыми услугами?
А. В.: Нет, у нас — собственный центр. Мы развиваем его самостоятельно. Должны были получить лицензию, но нам сообщили, что сможем сделать это только по окончании пандемии. Поэтому документ мы ещё не видели.
Почему не воспользовались услугами аутсорсинга? Насколько мне известно, их уровень достаточно высок, в том числе они доступны в Дальневосточном федеральном округе.
А. В.: Мы выступаем за развитие компетенции своих сотрудников. Лично я — точно за это.
Я хочу повышать уровень своих сотрудников. Идея всё это централизовать, в принципе, неплоха, но я считаю, что в организациях, которые занимаются инфраструктурой — как мы, например, — должна быть своя безопасность и должны быть свои айтишники, которые понимают, что вообще происходит. В противном случае это — выброс денег в никуда и неизвестно для чего.
Если же компетенции сотрудников совершенствуются и IT-направление в целом растёт, то это, я считаю, правильно.
Здравая позиция. По крайней мере для государственной организации, которая обслуживает серьёзные системы, влияющие на большое количество граждан и их данные.
С 1 июля вступает в силу приказ ФСТЭК России № 17 о том, что все системы ГИС должны быть аттестованы. Все об этом как-то забыли, тем более что внимание на себя переключил коронавирус и стало не до того, но требований никто не отменял, и получается, что люди будут вынуждены заниматься этими вопросами в срочном порядке, чтобы не получить наказание, штраф, приостановку работы государственных информационных систем.
А. В.: Всё верно. Если, например, говорить про медицину в любом регионе, то она должна работать в любом случае. И даже когда нет аттестации или что-то не сделано, остановить её работу нельзя, так как задача медицины — лечить людей. Также в каких-то регионах нет денег на выполнение требований. О чём в такой ситуации можно вообще говорить? Лечить людей медики от этого не перестанут, соответственно, не смогут закрыть и информационные системы.
Да, их же вот так просто не выключишь, никто не даст добро на остановку работы.
А. В.: Например, планируют сделать так, чтобы всё «железо» стало отечественным. Как это выполнить? Мы должны выбросить всё старое «железо» и купить новое? Денег нет — никто не купит. Систему из-за этого останавливать тоже никто не станет. Думаю, обязательно будут вводить какие-то исключения. Выпишут замечания, скажут сделать. Но этот процесс будет тянуться и год, и два, и ещё неизвестно сколько.
Да, с «железом» — тем более. Это — колоссальные бюджеты! Да его и нет на самом деле, если говорить о программно-аппаратных комплексах. Откуда вдруг возьмётся российское «железо», если оно в принципе почти отсутствует. Поэтому — действительно сложный вопрос.
А. В.: Я уже говорил, что отечественные прикладные средства защиты между собой «не дружат». А тут они должны будут подружиться ещё и с отечественным «железом».
Мы купили якобы отечественное «железо», поставили якобы отечественное средство защиты информации. Никак вообще не заработало. А написано, что совместимы друг с другом. И что с этим делать? Проблема банальна — не подгружались драйвера.
Если мы сейчас все резко начнём переходить на отечественное, то либо будет один какой-то вендор, у которого все и всё будут покупать, либо это просто «не взлетит».
Будем надеяться, что регуляторы всё-таки смягчат требования, дадут отсрочки, или начнёт что-то меняться, потому что на данный момент такие действия выглядят противоречиво и несут неоднозначные последствия для многих организаций и для всего рынка в целом.
А. В.: Да, согласен.
Спасибо большое за интервью, Алексей! Успехов вам!